173586

Wurm Zacker wünscht "Happy New Year"

20.12.2001 | 10:30 Uhr |

Zum Jahresende sind besonders viele Mails unterwegs: Weihnachtsgrüße und Neujahrs-Wünsche schwirren zu Millionen durch das Internet. Dies nutzen viele Malware-Programmierer aus, um ihre Würmer und Viren in der Menge versteckt zu verbreiten. So auch "W32/Zacker-C", der sich zur Zeit im Internet ausbreitet. Der Wurm kommt als Anhang mit einer Mail, die dem Empfänger ein "Happy New Year" in der Betreffzeile wünscht. Wird der Wurm gestartet, kann er die Tastatur blockieren und eine Mail-Lawine verursachen.

Zum Jahresende sind besonders viele Mails unterwegs: Weihnachtsgrüße und Neujahrs-Wünsche schwirren zu Millionen durch das Internet. Dies nutzen viele Malware-Programmierer aus, um ihre Würmer und Viren in der Menge versteckt zu verbreiten. So auch "W32/Zacker-C", der sich zur Zeit im Internet ausbreitet. Der Wurm kommt als Anhang mit einer Mail, die dem Empfänger ein "Happy New Year" in der Betreffzeile wünscht. Wird der Wurm gestartet, kann er die Tastatur blockieren und eine Mail-Lawine verursachen, wie die Antiviren-Spezialisten von Sophos berichten.

Die Mail beinhaltet folgenden ergreifenden Text: "Hii I can't describe my feelings But all I can say is Happy New Year:) bye".

Der Wurm selbst verbirgt sich wie meist im Datei-Anhang der Mail. Dieser trägt den Namen "Christmas.exe" und ist 37.376 Bytes groß. Die Datei ist in Visual Basic geschrieben.

Klickt der Empfänger auf christmas.exe, so kopiert sich der Übeltäter als Christmas.exe in das Windows-Verzeichnis und trägt sich in die Registry ein:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Zacker. Danach startet der Wurm bei jedem Systemstart automatisch.

Der Wurm ersetzt den Namen des Computers durch "Zacker". Hierzu manipuliert er ebenfalls die Registry.

Außerdem setzt der Wurm die "Zacker"-Website als Default-Seite für den Internet Explorer fest. Auf dieser Seite wiederum versucht ein Javascript einen VBS-Virus zu starten, der Antiviren-Software und Firewalls verschiedener Hersteller löschen soll. Zuletzt startet Zacker den Versuch, eine Mail-Lawine zu erzeugen. Hierzu versendet er sich an die Einträge im Adressbuch von Microsoft Outlook oder im Microsoft Messenger.

Besonders ärgerlich: Der virtuelle Schädling versucht die Tastatur zu deaktivieren.

Alias-Namen für Zacker sind W32/Maldal.c@MM, W32/Reeezak.A@mm, I-Worm.Keyluc. Das Datensicherheits-Unternehmen Sophos hat bereits mehrfach Meldungen über diesen Wurm "in the wild" erhalten.

Neuer Javascript-Wurm nutzt alte Schwäche für Mail-Lawine (PC-WELT Online, 19.12.2001)

Wurm "W32.Gokar": Kommt per Mail, IRC und IIS (PC-WELT Online, 14.12.2001)

PC-WELT: Viren und Bugs

0 Kommentare zu diesem Artikel
173586